salut, uite cum e treaba : utilitarele de sistem folosesc nss ca sa afle uid, gid pentru diverse chestii, ai nevoie sa configurezi pt asta nsswitch.conf si un fisier libnss_ldap.conf care de obicei e identic cu pam_ldap.conf ca continut. Pentru autentificare pam_ldap , cu fisierul pam_ldap.conf si /etc/pam.d/login cu liniile necesare(respectiv /etc/pam.d/ssh pentru autentificare remote). Testezi cu: 1. cu ldapsearch poti face query-uri, si cu ldapsearch -x -D "dn_complet_al_unui_cont_oarecare" uid=nume_conf -W , daca returneaza parola inseamna ca mere "by self auth". 2. getent passwd si vezi asa daca merge nss_ldap 3. configurezi login din pam si testezi (asta daca incerci sa te autentifici local de la tastatura) pentru remote configurezi ssh din dir /etc/pam.d/ssh ca sa stie de ldap. . Urmareste /var/log/messages /var/log/syslog si /var/log/auth.log. Deasemenea ajuta si un slapd pornit din linie de comanda , fara sa il detasezi , ca sa vezi cum se fac queryurile, ce query, etc. . Pt mama ei de securitate pune si tu un password-hash crypt macar . Nu te m-ai "binda" cu root (/etc/pam_ldap.conf cum ai arata configurat) ci cu datele puse la dispozitie de utilizator. Cu dn de admin nu ai ce cauta nicaieri in toata setarea asta, inafara de a face modificari la baza de date (adaugari conturi, stergere conturi) teortic nimic nu trebuie sa stie parola de admin (exceptie samba, care numai asa merge). Pune nscd(nsswitch cache daemon pe fiecare masina care se autentifica la serveru ala de ldap) altfel o sa ai probleme cu serveru de ldap ca o sa fie forjat la greu de conexiuni multe la orice(un ls -lah /home de exemplu e dezastru , daca ai home montat prin nfs sau alt filesystem din retea).
>Intrebarea mea este: a configurat careva cu succes o chestia d-asta, si >daca da, cum? Sau ce am gresit? Da , de mai multe ori, cu tls, se autentifica cam 70 de statii ori pe linux ori pe windows (depinde de ce foloseste domnu student). Partea frumoasa e ca daca ai o statie compromisa, nu face rost de adminu de ldap. (asta daca te chinui un pic, si nu pui nicaieri pe nici o statie admin dn) P.S. treaba asta a mers pe: linux (debian, gentoo , suse) si FreeBSD(cu exceptia ca pe FreeBSD nu exista nscd, ci alta treaba care face acelasi lucru) _______________________________________________ RLUG mailing list [email protected] http://lists.lug.ro/mailman/listinfo/rlug
